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Kleine Anfrage 

der Abgeordneten Jan Körte, Frank Tempel, Annette Groth, Dr. Andre Hahn, 
Andrej Hunko, Ulla Jelpke, Katrin Kunert, Dr. Alexander S. Neu, Martina Renner, 
Kersten Steinke, Halina Wawzyniak und der Fraktion DIE LINKE. 


Pläne der Bundesregierung für eine neue Cybersicherheitsstrategie 


Nach Medienberichten von „ZEIT ONLINE“ und dem Deutschlandfunk vom 
7. Juli 2016 plant die Bundesregierung die Verabschiedung einer neuen „Cyber- 
sicherheitsstrategie für Deutschland 2016“. Ein Referentenentwurf werde gegen- 
wärtig zwischen den zuständigen Bundesministerien abgestimmt und soll im 
Herbst 2016 vom Kabinett verabschiedet werden. Entstehen soll demnach eine 
größere und fast militärische Sicherheitsarchitektur für den digitalen Raum, be- 
stehend aus verschiedenen Behörden, die nicht nur beraten, sondern auch schnell 
handeln können soll. Der Strategie zufolge sollen gleich drei mobile Eingreiftrup- 
pen, sogenannte „Quick Reaction Forces“ zum Zweck der Strafverfolgung und 
der zivilen Gefahrenabwehr aufgebaut werden. Daneben sollen verschiedene Gre- 
mien und Behörden, darunter das Bundesamt für Sicherheit in der Informations- 
technik (BSI) und das Cyber-Abwehrzentrum (Cyber-AZ) des Bundes in Bonn, 
stark ausgebaut, Polizei, Bundeswehr, Regierung und Wirtschaft stärker mitei- 
nander vernetzt werden. Laut den Medienberichten soll außerdem mit einem na- 
tionalen Computer Emergency Response Team (CERT) eine weitere Institution 
gegründet werden, um sofort auf eventuelle Angriffe reagieren zu können. Ferner 
prüfe die Bundesregierung, ob Hersteller haftbar gemacht werden können, wenn 
sie Sicherheitsmängel in ihrer Software und ihrer Hardware nicht beheben (vgl. 
ZEIT ONLINE vom 7. Juli 2016). Außerdem erklärte der Bundesminister des 
Innern, Dr. Thomas de Maiziere, gegenüber dem ZDF-Morgenmagazin: „Wir 
wollen dass die Provider selbst eine Haftung und Verantwortung dafür überneh- 
men, wenn Straftaten in ihrem Netz staftfinden“ (ZDF-Morgenmagazin vom 
21. Juli 2016). 

Wir fragen die Bundesregierung: 

1 . Treffen die Pressemeldungen über Pläne der Bundesregierung für eine neue 
„Cybersicherheitsstrategie für Deutschland 2016“ zu, und wann soll diese 
verabschiedet werden bzw. in Kraft treten? 

2. In welcher Weise soll die Strategie parlamentarisch beraten werden? 

3. Welche Pläne existieren für einen Ausbau des BSI? 

4. Welche Pläne existieren für einen Ausbau des Cyber-AZ des Bundes in 
Bonn, welche Behörden sollen daran in welchem Umfang beteiligt werden, 
und wer wird nach diesen Plänen zukünftig die Federführung innehaben? 
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5. Inwieweit wird bei den Plänen der Bundesregierung die grundsätzliche Kri- 
tik des Bundesrechnungshofs am Cyber-AZ, wonach dessen Einrichtung 
nicht gerechtfertigt und sein Nutzen „fraglich“ sei, da die jetzige Konzeption 
„nicht geeignet [sei], die über die Behördenlandschaft verteilten Zuständig- 
keiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum 
zu bündeln“ (Süddeutsche Zeitung vom 7. Juni 2014), berücksichtigt? 

6. Soll das Cyber-AZ nach Plänen der Bundesregierung wesentlich umstruktu- 
riert werden, um sinnvoller zu arbeiten? 

Wenn ja, in welcher Form soll das im Detail geschehen? 

7. Hat die Bundesregierung selbst eine Evaluation des Cyber-AZ durchführen 
lassen, und wenn ja, mit welchem Ergebnis? 

Wenn nein, warum nicht? 

8. Wie weit wurden die Planungen des Bundesministeriums des Inneren (BMI) 
zur Einrichtung von zwei Unterabteilungen „IT- und Cybersicherheit, si- 
chere Informationstechnik“ und „Cybersicherheit im Bereich der Polizeien 
und des Verfassungsschutzes“ (heise.de, „Innenministerium: zwei neue 
Stäbe für die Cybersicherheit“, 13. Juni 2014) umgesetzt, was sind ihre Auf- 
gaben, wie viel Personal wurde dorthin aus welchen anderen Abteilungen 
versetzt, und wie viel neu gewonnen? 

9. Ist es nach Einschätzung der Bundesregierung mit Hilfe der Cyber-Abwehr- 
abteilung im BMI besser als mit dem Cyber-AZ gelungen, die über die Be- 
hördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr 
von Angriffen aus dem Cyberraum zu bündeln? 

10. Wie soll die zivil-militärische Zusammenarbeit zwischen Cyber-AZ und 
Bundeswehr im Detail neu konzipiert werden? 

1 1 . Treffen die Medienberichte zur Einrichtung des CERT zu, und wenn ja, 

a) handelt es sich dabei um eine tatsächlich neue Einrichtung oder die seit 
dem 1. September 2001 beim BSI bestehende „CERT-Bund“; 

b) was soll sich nach den bisherigen Planungen organisatorisch, personell 
und bei den Zuständigkeiten für das CERT bzw. CERT-Bund ändern; 

c) welche genaue Rolle ist ihm innerhalb der Cybersicherheitsstrategie zu- 
gedacht; 

d) mit welchen Kosten für Personal und Technik rechnet die Bundesregie- 
rung (bitte entsprechend aufschlüsseln)? 

12. Inwieweit sind Cyber-AZ und CERT in den Ausbau der für offensive Cyber- 
Einsätze trainierenden CNO-Einheit (CNO — Computer Networks Opera- 
tion) der Bundeswehr eingebunden? 

1 3 . Trifft es zu, dass der BND die „Lagebildaufklärung“ in fremden Netzen über- 
nimmt oder übernehmen soll und seine Ressourcen im Konfliktfall den 
CNO-Kräften der Bundeswehr zur Verfügung stellt? 

14. Wie viele öffentliche und nicht öffentliche Einrichtungen betreiben in der 
Bundesrepublik Deutschland ein CERT (bitte so weit wie möglich nach Ver- 
waltung, Wirtschaft und Universitäten/Forschungseinrichtungen differenzie- 
ren), die im Deutschen CERT-Verbund zusammengeschlossen sind? 

15. Existiert mittlerweile der „Verbund Deutscher Verwaltungs-CERT“, was 
sind seine Aufgaben und Tätigkeitsfelder, und wer hat die Geschäftsführung 
inne? 
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1 6. Welche externen Beraterinnen und Berater waren und sind bei der Ausarbei- 
tung der „Cybersicherheitsstrategie für Deutschland 20 1 6“ in welcher Form 
und Funktion tätig, und welche Kosten entstehen dadurch jeweils (bitte ent- 
sprechend nach den genannten Kategorien auflisten)? 

1 7. Trifft es zu, dass im BMI Pläne existieren, wonach künftig mit dem Bundes- 
amt für Verfassungsschutz (BfV), dem Bundeskriminalamt (BKA) und dem 
BSI gleich drei Behörden jeweils eine digitale Eingreiftruppe (Quick 
Reaction Force) aufbauen, die jederzeit ausrücken kann? 

Wenn ja, wie sehen diese Pläne konkret aus? 

a) Wann soll das „Cyber-Team“ des BfV einsatzbereit sein, aus wie vielen 
Personen soll es bestehen, mit welchen Ressourcen soll es ausgestattet 
werden, und welche Aufgaben soll es auf welcher Rechtsgrundlage über- 
nehmen? 

b) Wann soll die Quick Reaction Force des BKA einsatzbereit sein, aus wie 
vielen Personen soll sie bestehen, mit welchen Ressourcen soll sie ausge- 
stattet werden, und welche Aufgaben soll sie auf welcher Rechtsgrund- 
lage übernehmen? 

c) Wann soll das Mobile Incident Response Team (MIRT) des BSI einsatz- 
bereit sein, aus wie vielen Personen soll es bestehen, mit welchen Res- 
sourcen soll es ausgestattet werden, und welche Aufgaben soll es auf wel- 
cher Rechtsgrundlage übernehmen? 

d) Sollen die Mitglieder der genannten neuen Einheiten durch Neustruktu- 
rierungen und Umsetzungen oder durch Neugewinnung von Personal ge- 
wonnen werden, und wie hoch schätzt die Bundesregierung den entste- 
henden Personalbedarf? 

18. Wie und auf welcher Rechtsgrundlage soll die jeweilige Zuständigkeit der 
Quick Reaction Forces geregelt und sollen mögliche Kompetenzprobleme 
vermieden werden? 

19. Wie soll verhindert werden, dass das Trennungsgebot zwischen Polizei und 
Nachrichtendiensten verletzt wird und sich Zuständigkeiten überschneiden? 

20. Trifft es zu, dass im BMI Pläne existieren, wonach das BMI zusammen mit 
den Providern die „Sensorik im Netz ausbauen“ will, um Cyberangriffe und 
Infektionen besser erkennen zu können und laufende Angriffe abzuschwä- 
chen? 

Wenn ja: 

a) Was ist konkret mit „Sensorik“ gemeint? 

b) Auf welcher jeweiligen Rechtsgrundlage soll dies ggf erfolgen? 

c) Welche entsprechenden Einrichtungen (honey pots etc.) werden dazu be- 
reits von den Netzbetreibem in der Bundesrepublik Deutschland betrie- 
ben, und welche Defizite hat die Bundesregierung hierbei erkannt? 

d) Fällt darunter auch eine sogenannte „Deep Packet Inspection“? 

21. Soll künftig der komplette Netzwerkverkehr automatisiert überwacht wer- 
den, und wenn ja, von wem soll dies auf welche Weise und auf welcher 
Rechtsgrundlage erfolgen? 

Wenn nein, in welchem Umfang und auf welche Weise soll dann die Über- 
wachung auf welcher konkreten Rechtsgrundlage erfolgen? 
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22. Existieren in der Bundesregierung oder einzelnen Geschäftsbereichen Pla- 
nungen mit dem Ziel, den Straftatenkatalog in § 100a der Strafprozessord- 
nung (StPO) zu erweitern, und wenn ja, welche Straftatbestände oder krimi- 
nologischen Phänomenbereiche kommen hierfür in Betracht? 

23. Um welche Straftaten handelt es sich nach Auffassung der Bundesregierung 
konkret, „die online und konspirativ verübt werden“ und demnach in den 
Straftatenkatalog des § 1 00a StPO aufgenommen werden müssten? 

24. Plant die Bundesregierung eine „Anpassung“ der Mitwirkungspflichten von 
Unternehmen, etwa bei der Identifizierung von Nutzem, und wenn ja, wie 
soll diese Anpassung im Detail aussehen? 

25. Wie können und sollen nach Auffassung der Bundesregierang eine Haftung 
und Verantwortung der Provider konkret geregelt werden, wenn Straftaten 
in deren Netzen staftfinden, und wie kann sichergestellt werden, dass Provi- 
der ihre Netze auf kriminelle Handlungen und Inhalte hin überprüfen, ohne 
dass sie dabei ihrerseits eine gesetzwidrige Überwachungsinfrastruktur auf- 
bauen? 

26. Kann die Bundesregierung ausschließen, dass darunter Pflichten auch für 
deufsche Anbiefer von anonymen Infemetdiensfen sein werden? 

27. Isf es korrekf, dass Pläne existieren, der Staat müsse sich stärker für private 
Sicherheitsdienstleister öffnen, weil es nach Auffassung der Bundesregie- 
rung in den Sicherheifsbehörden an Fachkräften mangele? 

Wenn ja: 

a) In welchen Bereichen und für welche Aufgaben will das BMI mehr pri- 
vafe Sicherheifsfirmen einsefzen? 

b) Inwieweif soll die Bundeswehr künftig bei der Cyberabwehr Unterstüt- 
zung durch zivile Akteure erhalten? 

c) Wie kann oder soll nach Auffassung der Bundesregierung die Datensi- 
cherheit bei der Beauftragung privater Unternehmen z. B. bei der Daten- 
weitergabe etc. gewährleistet werden? 

d) Sieht die Bundesregierung insbesondere bei der Beauftragung nichtdeut- 
scher privater Unternehmen Sicherheitsrisiken, und wenn ja, welche sind 
dies? 

28. Ist es zutreffend, dass Pläne bestehen, wonach im BMI außerdem eine zent- 
rale Stelle entstehen soll, die „Cyberwaffen“ (Hard- und Software zur Infilt- 
ration und zum aktiven Eindringen in fremde Computersysteme) beschafft 
und entwickelt, und wenn ja, aus welchen Gründen wird dies für nötig erach- 
fef, und auf welcher jeweiligen Rechfsgrundlage soll dies passieren? 

29. Was muss als Aufgabe dieser neuen Stabssfelle im BMI unter der Formulie- 
rung „technische Unterstützung für nationale Sicherheitsbehörden im Hin- 
blick auf deren operative Cyberfähigkeiten“ im Detail verstanden werden 
(bitte ausführen)? 
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30. Ist es zutreffend, dass die Bundesregierung derzeit prüft, ob Hersteller haft- 
bar gemacht werden können, wenn sie Sicherheitsmängel in ihrer Software 
und ihrer Hardware nicht beheben, und wenn ja, 

a) welche Ergebnisse hat diese Prüfung bereits erbracht; 

b) plant die Bundesregierung eine entsprechende Überarbeitung des IT-Si- 
cherheitsgesetzes? 

Berlin, den 3. August 2016 

Dr. Sahra Wagenknecht, Dr. Dietmar Bartsch und Fraktion 
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